首頁 > 關于我們 > 新聞動態 > 公司新聞

沉寂已久的Incaseformat蠕蟲病毒重燃,應急處置方案同步推出

發布時間 2021-01-14

病毒重點信息


病毒名稱:incaseformat、Worm.Win32.Autorun

傳播途徑:移動介質

危害程度:非系統分區數據刪除

觸發條件:隨電腦開機啟動

威脅預測:2021年1月23日將會再次爆發

處置方案:進程抑制、文件刪除


威脅分析


該病毒最早的出現時間約在2009年,由于病毒編碼中時間換算錯誤,延后了10余年才觸發后續行為,incaseformat 蠕蟲病毒運行后,將會進行以下操作:


1、進行自復制(C:\windows\tsay.exe、C:\Windows\ttry.exe)

2、設置注冊表自啟動(HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa)

3、隱藏受保護的文件

4、觸發執行后續的文件刪除動作


注意事項


1、暫停使用U盤等移動存儲工具

2、不打開未知文件、不點擊未知鏈接

3、威脅清除前不要重啟電腦

4、確保共享目錄關閉、主機防火墻開啟


處置方案


● 未安裝天珣EDR


1、排查并刪除C:\Windows\tsay.exe、C:\Windows\ttry.exe文件

2、排查并刪除注冊表“msfsa”項

“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”


● 已安裝天珣EDR


1、開啟關鍵路徑信息變動采集并添加威脅路徑信息,持續監控預警

2、開啟注冊表信息變動采集并添加威脅路徑監控信息,持續監控預警

3、添加進程黑名單,抑制病毒運行

4、推送響應腳本,全網清除病毒威脅

5、回溯威脅入口,為后續安全整改提供支撐


啟明星辰天珣終端高級威脅檢測與響應系統(簡稱天珣EDR),發現、分析、處置安全威脅的同時提供完善的可視化回溯能力,協助管理人員定位威脅源頭。


溫馨提示


可通過郵件或其他方式告知所有人員執行一次啟明星辰提供的“關于incaseformat清除腳本”后再關機或重啟電腦。

清除腳本獲取方式:

1、直接聯系對接商務、技術

2、撥打啟明星辰熱線電話:400-624-3900


啟明星辰將持續關注此病毒后續動態并及時提供解決方案。

上一篇 下一篇